Privacy

Privacy in azienda: ripensare il modello organizzativo per minimizzare i costi e creare valore aggiunto

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è pienamente in vigore in tutta Europa da diversi mesi. Per garantire la conformità alla nuova normativa, le organizzazioni hanno dovuto affrontare costi anche molto elevati. Questi costi potrebbero essere ridotti e potrebbero essere massimizzati i benefici derivanti dal trattamento di dati personali, attraverso un’adeguata divisione dei compiti. Partiamo da un presupposto: nominare un DPO e delegargli l’attività di adeguamento alla nuova normativa è un approccio che si pone in contrasto con il dettato del GDPR per due ragioni. La prima è di natura pratica: se il DPO si deve occupare di tutte le attività di adeguamento alla normativa – spesso con scarse risorse – non può riuscire a svolgere le attività…

Continua a leggere...

Le limitazioni dei diritti degli interessati

Come noto il regolamento UE n. 2016/679 sulla protezione dei dati personali (GDPR) riconosce dagli artt. 15 a 22 tutta una serie di diritti a favore degli interessati nei confronti del titolare e del responsabile del trattamento che rappresentano una delle principali novità della normativa comunitaria molto attenta a tutelare le ragioni dell’interessato. Lo stesso art. 23 del GDPR, però, sottolinea che il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una…

Continua a leggere...

La decisione di adeguatezza nei trasferimenti dei dati extra Ue

In una società tecnologica, dematerializzata e fluida quale quella moderna è sempre più frequente che i dati siano un flusso e che, nel corso del loro trattamento, circolino anche al di fuori dell’unione europea. Si pensi ad esempio ad un dato gestito e conservato in cloud, ove magari non si ha neppure certezza sul luogo in cui lo stesso si trovi. Il criterio principale previsto dal GDPR affinché possa effettuarsi un trasferimento di dati al di fuori dell’Unione è la previa adozione, da parte della Commissione, di una decisione di adeguatezza, come previsto dall’art. 45. La Commissione, quindi, dovrà verificare se, nel contesto extra europeo, il livello di protezione dei dati è “adeguato”, ovverosia equivalente a quello previsto dal GDPR….

Continua a leggere...

Risk assessment e DPIA

Sommario Uno degli elementi di maggiore novità introdotti dal Regolamento (UE) 2016/679 sulla protezione dei dati, è la previsione che i titolari del trattamento predispongano una valutazione di impatto (DPIA–Data protection impact assessment o anche PIA–Privacy impact assessment) ogni qual volta un trattamento presenti rischi elevati per i diritti e le libertà delle persone fisiche. Per determinare se debba essere predisposta la DPIA per uno specifico trattamento, e cioè per accertare se i rischi siano elevati, è implicitamente necessario effettuarne una stima. Il processo di stima del rischio è noto come risk assessment, ed è un elemento propredeutico all’avvio di qualunque trattamento. Se all’esito di una prima valutazione il rischio dovesse risultare elevato, il processo stesso dovrà essere formalizzato e…

Continua a leggere...

Price discrimination e protezione dei dati personali: possibili scenari

Con l’espressione price discrimination si intende quella strategia di prezzi per la quale beni o servizi identici o simili tra loro vengono venduti, da parte di uno stesso fornitore, a prezzi differenti e maggiori del loro costo marginale[1]. In tali casi il prezzo di un bene non è definito dai suoi costi di produzione e commercializzazione, ma da quanto il consumatore è disponibile a spendere per acquistarlo (propensione al consumo o prezzo di riserva). Quanto più un’impresa è in grado di individuare con precisione tale propensione al consumo, tanto più ampia sarà la capacità di definire una strategia personalizzata attraverso la quale vendere lo stesso prodotto a più consumatori applicando a ciascuno un prezzo differente[2]. Sotto tale prospettiva, il tema…

Continua a leggere...

La privacy non va in vacanza: i consigli del Garante

Il Garante della Privacy ha pubblicato un elenco di informazioni chiamato ‘Estate in privacy‘ utile per la propria riservatezza, che informa sulla protezione dei dati personali, acquisti online, app, social, informazioni su selfie e foto. Di seguito i suggerimenti: NON ESPORSI TROPPO CON SELFIE E FOTO – non tutti amano essere on line durante il periodo di pausa. Quando si condividono foto con tag riferiti ad altre persone è sempre bene accertarsi che la persona coinvolta sia d’accordo. Protezione alta, poi, alle foto in cui appaiono minori. Meglio, quindi, evitare di “postarle”, oppure utilizzare almeno alcune accortezze, come rendere irriconoscibile il viso del minore o anche limitare le impostazioni di visibilità delle immagini solo alle persone fidate. GEOLOCALIZZATI? NO, GRAZIE – è molto utile…

Continua a leggere...

Codice per la protezione dei dati personali: un’abrogazione frettolosa (forse incostituzionale) e senz’altro pericolosa

Ho sfogliato velocemente il testo dello Schema di Decreto Legislativo  che introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (in seguito GDPR – General Data Protection Regulation) in attuazione dell’art. 13 della Legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163) annunciato da Governo con un Comunicato  Stampa del 21 marzo 2018. Premetto che ho ricevuto giorni fa il testo di questo decreto legislativo, ma per pudore istituzionale (e rispetto verso le fonti che me lo avevano cortesemente inviato), ho evitato di diffonderlo e anche di commentarlo. In pochi attimi, invece, la Rete è stata travolta da opinioni e testi pubblicati, in versione – più o meno – ufficiale. Questo lungo testo normativo (104 articoli contro…

Continua a leggere...

Data protection officer interno o esterno? Il DPO sarà una figura strategica per ogni tipo di organizzazione, non affidiamola al caso

https://www.anorc.eu/ Si discute moltissimo in questi giorni della figura del Data Protection Officer o Responsabile della protezione dei dati personali (in seguito DPO o RPD). Una figura che, come sappiamo, è stata introdotta nel sistema normativo europeo dal GDPR (General Data Protection Regulation – Regolamento UE 2016/679), la cui nomina è stata resa obbligatoria per alcuni Titolari e Responsabili del trattamento[1] ed è, comunque, caldamente consigliata, in termini di buone prassi, in tutti i casi in cui, nell’esercizio delle attività di trattamento, siano ravvisabili concreti rischi per i diritti e le libertà delle persone fisiche (in attuazione del fondamentale principio dell’accountability). A questa delicata figura e ai compiti alla stessa attribuiti sono già stati dedicati alcuni approfondimenti[2].  Eviterò, quindi, di…

Continua a leggere...

Privacy, il regalo di Natale per i big del digitale? I dati sensibili degli italiani

Quest’anno il nostro legislatore ha superato sé stesso per magnanimità. Il regalo di Natale per le multinazionali dell’Information Technology è piuttosto prezioso. Peccato però che a pagare il prezzo di siano i cittadini e il loro diritto alla protezione dei dati personali, addirittura quelli più sensibili, i dati sanitari. Nella Legge europea 2017 viene infatti introdotto l’art. 110-bis al Codice per la protezione dei dati personali che prevede la possibilità, per scopi statistici e di ricerca scientifica, di riutilizzo dei dati personali, anche sensibili (ad esclusione di quelli genetici), a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati a tutela degli interessati, previa autorizzazione del Garante. Questa norma è solo apparentemente dedicata a favorire la…

Continua a leggere...

GDPR, quanti pasticci nella legge europea 2017: ecco cosa rischia l’Italia

L’Italia avanza lentamente e in modo scoordinato nell’armonizzazione della disciplina nazionale con il GDPR. Ancora poca chiarezza sul Responsabile del trattamento e troppo generiche le norme sul riutilizzo dei dati sanitari, in forma anonima, per scopi statistici e di ricerca. Futuro inquietante all’orizzonte Mentre altri Stati Europei hanno provveduto da tempo ad armonizzare la propria disciplina nazionale con l’arrivo piuttosto impetuoso del GDPR[1], l’Italia timidamente muove i suoi primi passi verso tale obiettivo in modo a prima vista poco coordinato e convincente. Si fa riferimento ovviamente alle novità in materia di protezione dei dati personali (e quindi modificative di alcuni articoli del Codice[2]) appena introdotte dalla legge 20 novembre 2017, n. 167 (in vigore dal 12 dicembre p.v.)[3]. Tali novità…

Continua a leggere...